Campaña de Ciberespionaje Utilizando un Nuevo Malware de Linux

ESET revela malware de Linux vinculado al grupo Gelsemium de China, con las puertas traseras WolfsBane y FireWood apuntando a datos sensibles para el ciberespionaje.

ESET Los investigadores de ciberseguridad han descubierto un nuevo tipo de malware diseñado para sistemas Linux, llamado “WolfsBane”, el cual creen que está conectado a un grupo de hackers chinos llamado Gelsemium.

Este grupo, conocido por sus sofisticados ataques, ha estado activo desde 2014, principalmente dirigidos a sistemas Windows. Este nuevo malware marca la primera vez que se ha vinculado a Gelsemium con Linux, una plataforma cada vez más atacada por hackers, según ESET.

ESET informa que la puerta trasera WolfsBane es similar a un malware anterior, Gelsevirine, utilizado por Gelsemium para obtener acceso no autorizado a los sistemas.

Ambas herramientas comparten características clave, incluyendo la forma en que se comunican con los servidores controlados por hackers, ejecutan comandos y ocultan su presencia dentro de los sistemas infectados.

WolfsBane utiliza una biblioteca especializada y métodos de cifrado para evadir la detección, permitiendo a los hackers monitorear el sistema de la víctima y robar información sensible durante un período prolongado sin ser notados, dice ESET.

Junto a WolfsBane, los investigadores también encontraron otro “backdoor” llamado “FireWood”, que también podría estar vinculado a Gelsemium, aunque la conexión es menos segura.

FireWood comparte similitudes con el malware utilizado en ciberataques anteriores por el grupo, incluyendo su estructura y métodos de cifrado. Sin embargo, debido al potencial de herramientas compartidas entre diferentes grupos de hackers, el vínculo con Gelsemium no está confirmado, según ESET.

ESET explica que estas herramientas de malware están diseñadas para el ciberespionaje, permitiendo a los atacantes robar datos del sistema, credenciales y archivos.

El cambio hacia el malware de Linux se produce a medida que los hackers buscan nuevos vectores de ataque después de las medidas de seguridad incrementadas en los sistemas Windows, tales como las herramientas de detección de puntos finales y los cambios en la seguridad del correo electrónico de Microsoft. ESET señala que muchos sistemas que enfrentan a Internet funcionan con Linux, lo que los convierte en un blanco atractivo para los cibercriminales.

El malware se encontró en archivos subidos a VirusTotal, un servicio utilizado por expertos en seguridad para analizar archivos sospechosos, y parece haber sido desplegado en servidores de Taiwán, Filipinas y Singapur. La investigación sugiere que los hackers podrían haber obtenido acceso a estos servidores a través de vulnerabilidades en las aplicaciones web.

Mientras los investigadores de ESET continúan analizando el malware, han confirmado que los atacantes utilizan técnicas avanzadas para mantener acceso a largo plazo a los sistemas comprometidos, haciéndolos difíciles de detectar y eliminar.

El descubrimiento de WolfsBane y FireWood subraya la creciente amenaza de los ciberataques dirigidos a Linux, destacando la necesidad de medidas de seguridad más fuertes en todas las plataformas.